GA と DDoS 対策を併用したグローバルサービスの高速化とセキュリティ確保 - Global Accelerator

グローバルにビジネスを展開する際、企業はネットワーク遅延や DDoS 攻撃などの脅威に直面することがよくあります。Global Accelerator (GA) を Anti-DDoS 対策製品と併用してデプロイすることで、グローバルユーザーのアクセスを高速化し、DDoS 攻撃から効果的に防御できます。これにより、サービスの高い可用性とセキュリティを確保し、ユーザーエクスペリエンスを向上させ、セキュリティリスクを低減します。

GA と DDoS 対策製品の概要

DDoS 攻撃は、システムを標的としてサービスを利用不能にすることを目的とした悪意のあるネットワーク攻撃です。セキュリティ保護の要件に応じて、以下の DDoS 対策製品のいずれかを選択できます。

保護製品	Anti-DDoS Origin Basic	Anti-DDoS Origin	Anti-DDoS Pro and Anti-DDoS Premium
防御能力	低 GA は Alibaba Cloud DDoS 対策と統合されています。有効にする必要はありません。これにより、GA インスタンスのエンドポイントの加速 IP アドレスおよびパブリック IP アドレスに対して、最大 5 Gbps の基本的な DDoS 対策が無料で提供されます。無料で提供される最大の緩和能力は、リージョンによって異なります。	高 Anti-DDoS Origin では、GA インスタンスを保護対象として追加できます。また、GA インスタンスのエンドポイントの高速化 IP アドレスとパブリック IP アドレスに対して、最大数百 Gbps の無制限の保護を提供します。最大緩和能力はリージョンによって異なります。	高 GA は Anti-DDoS Pro および Anti-DDoS Premium に接続できます。Alibaba Cloud のグローバルスクラビングセンターの機能に基づき、GA インスタンスのセキュア CNAME ドメイン名 (セキュアな高速化 IP アドレス) に、最大数 Tbps の防御機能を提供します。
仕組み	Anti-DDoS Basic はデフォルトのクリーニングしきい値を使用しますが、手動で設定することもできます。トラフィックがクリーニングの条件を満たすと、Anti-DDoS Basic はインターネットからのすべてのインバウンドトラフィックをフィルタリングしてクリーニングし、UDP リフレクション攻撃や SYN/ACK フラッド攻撃などの一般的なネットワークレイヤーおよびトランスポートレイヤーの攻撃から防御します。ただし、Anti-DDoS Basic は HTTP フラッド攻撃や CC 攻撃などのアプリケーションレイヤー攻撃には対応していません。設定した BPS および PPS のクリーニングしきい値に加えて、Anti-DDoS Basic は AI ベースのインテリジェント分析を使用します。Alibaba Cloud のビッグデータ機能を活用し、Anti-DDoS Basic はトラフィックパターンを学習し、アルゴリズムを使用して攻撃を検出します。トラフィッククリーニングは、AI ベースのインテリジェント分析が DDoS 攻撃を検出し、かつインバウンドトラフィックが設定した BPS または PPS のしきい値に達した場合にのみトリガーされます。この方法により、通常のサービストラフィックの変動がクリーニングしきい値を超えた場合など、固定しきい値によって引き起こされる可能性のある誤検知を防ぎます。インバウンドトラフィックが防御能力 (ブラックホールトリガーしきい値) を超えると、クラウド製品はブラックホールフィルタリングの対象となります。これにより、DDoS 攻撃がクラウド製品にさらなる損害を与えたり、他の資産に影響を与えたりするのを防ぎます。ブラックホールフィルタリングとは、Alibaba Cloud が一時的にクラウド製品へのインターネットからのすべてのインバウンドトラフィックをブロックすることを意味します。詳細については、Alibaba Cloud のブラックホールフィルタリングポリシーをご参照ください。	Anti-DDoS Origin は、主にレイヤー 3 およびレイヤー 4 の DDoS 攻撃を防御します。トラフィックがデフォルトのクリーニングしきい値を超えると、Anti-DDoS Origin は自動的にトラフィッククリーニングをトリガーして DDoS 攻撃を防御します。 Anti-DDoS Origin は、パッシブクリーニングを主要な防御方法とし、アクティブブロッキングを補助的な方法として使用します。逆方向検出、ブラックリストとホワイトリスト、パケットコンプライアンスなどの標準技術を使用して DDoS 攻撃を防御します。これにより、保護されたクラウドサービスが攻撃中も正常に動作し続けることを保証します。Anti-DDoS Origin は、Alibaba Cloud データセンターの出口に DDoS 攻撃検出およびトラフィッククリーニングシステムをバイパスモードでデプロイすることによって機能します。	Anti-DDoS Pro および Anti-DDoS Premium でサービス用に設定した転送ルール (つまり、ウェブサイトのドメイン名を指定し、GA のセキュア CNAME をサーバーアドレスとして使用する) に基づいて、GA はサービスの DNS ドメイン名の名前解決またはサービス IP アドレスを Anti-DDoS Pro または Anti-DDoS Premium インスタンスの IP アドレスにポイントすることでトラフィックをリダイレクトします。通常のサービスアクセス中、トラフィックは Anti-DDoS インスタンスを経由せず、遅延を増やすことなく GA によって直接オリジンサーバーにアクセラレーションされます。サービスが攻撃を受けると、GA は自動的に CNAME を Anti-DDoS インスタンスの IP アドレスに切り替えます。トラフィックは Anti-DDoS インスタンスによってクリーニングされた後、GA のセキュア CNAME (セキュアアクセラレーション IP アドレス) を通じて GA に送信され、アクセラレーションされます。これにより、攻撃中でもサービスの安定性と効率が確保されます。
関連ドキュメント	GA インスタンスの基本保護しきい値の表示	GA と Anti-DDoS Origin の連携	GA と Anti-DDoS Pro および Anti-DDoS Premium の連携

利用シーン

GA と Anti-DDoS Origin の連携

ある企業のウェブサイトが Alibaba Cloud の米国 (シリコンバレー) リージョンにデプロイされており、カスタムドメイン名を通じて世界中の複数のリージョンのエンドユーザーにサービスを提供しています。転送ポートは HTTP ポート 80 です。現在、このウェブサイトは以下の課題に直面しています：

不安定なクロスボーダーのパブリックネットワーク。遅延、ジッター、パケット損失などの問題が頻繁に発生します。
頻繁な大容量の DDoS 攻撃により、サービスの応答が不安定になります。

GA と Anti-DDoS Origin を併用してデプロイすることで、クロスドメインのウェブサイトサービスが直面する問題を解決できます。

GA：クライアントのアクセスリクエストは、最寄りの加速エリアから Alibaba Cloud のアクセラレーションネットワークに接続できます。GA はスマートルーティングと自動ネットワークスケジューリングを使用して、リクエストを米国 (シリコンバレー) リージョンのオリジンサーバーに転送し、サービスアクセス速度を効果的に向上させます。さらに、ヘルスチェックを有効にすることで、ビジネスの信頼性と可用性を高め、異常なノードがサービスに影響を与えるのを防ぎます。
Anti-DDoS Origin：Anti-DDoS Origin では、GA インスタンスを保護対象として追加し、GA のアクセラレーション IP アドレスとエンドポイントのパブリック IP アドレスを保護できます。トラフィックが Anti-DDoS Origin のデフォルトのクリーニングしきい値を超えると、トラフィッククリーニングが自動的にトリガーされ、DDoS 攻撃を防御します。

制限事項

Anti-DDoS Origin は、中国本土でのみ直接購入できます。中国本土以外のリージョンでインスタンスを購入するには、アカウントマネージャーにお問い合わせください。アカウントマネージャーへの連絡方法については、お問い合わせをご参照ください。

前提条件

サービスが米国 (シリコンバレー) リージョンの ECS01 および ECS02 サーバーにデプロイされていること。このトピックでは、Alibaba Cloud Linux 3 を例として使用し、Nginx を使用して HTTP 80 サービスを構成します。
例：ECS01 にテストサービスをデプロイする
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01, service running on port 80." > index.html
```
カスタムドメイン名の DNS レコードが設定されていること。2 つのバックエンドサーバーのパブリック IP アドレスにドメイン名をポイントする A レコードを設定済みであること。
Alibaba Cloud DNS 以外の DNS サービスを使用している場合は、ご利用の DNS プロバイダーの指示をご参照ください。
HTTPS 443 を介してサービスを提供するには、SSL 証明書サービスで証明書を作成して申請するか、サードパーティの証明書をアップロードし、カスタムドメイン名にバインドする必要があります。
Anti-DDoS Origin インスタンスを購入済みであること。

操作手順

ステップ 1：Global Accelerator の設定

このトピックでは、従量課金の標準 GA インスタンスを例として使用します。

Global Accelerator コンソールの [標準インスタンス] > [インスタンス] ページで、[標準従量課金インスタンスを作成] をクリックします。
インスタンスの基本設定 ステップで、パラメーターを設定し、次へをクリックします。
加速エリアの設定 ステップで、加速エリアを追加し、リージョンに帯域幅を割り当ててから、次へをクリックします。
この例では、加速エリア パラメーターを 中国 (香港) に、ISP 回線タイプ を BGP (マルチ ISP) に設定します。他のパラメーターはデフォルト値を使用するか、必要に応じて値を変更できます。詳細については、加速エリアの追加と管理をご参照ください。
重要
- 中国本土に加速エリアが必要な場合は、サービスを提供するためにドメイン名の ICP 登録を取得する必要があります。
- 必要な帯域幅を適切に計画してください。最大帯域幅が不足すると、速度制限やパケット損失の問題が発生する可能性があります。
リスナーの設定 ステップで、ルーティングプロトコルとポートを設定し、次へをクリックします。
この例では、ルーティングタイプ パラメーターを インテリジェントルーティング に、プロトコル を HTTP に、ポート を 80 に設定します。他のパラメーターはデフォルト値を使用するか、必要に応じて値を変更できます。詳細については、インテリジェントルーティングリスナーの追加と管理をご参照ください。
説明
ポート HTTPS 443 を使用してサービスを提供したい場合は、プロトコル パラメーターに HTTPS を、ポート に 443 を選択し、リスナーに証明書を関連付け、エンドポイントグループの ポートマッピング パラメーターでリスナーポート 443 とバックエンドサービスポート 80 の間のマッピングを設定します。これにより、ユーザーは HTTPS を介して HTTP ウェブサイトに安全にアクセスできます。
ウィザードの エンドポイントグループの設定 ページで、エンドポイントのバックエンドサービスを設定し、次へをクリックします。
このシナリオでは、リージョン を 米国 (シリコンバレー) に設定します。バックエンドサービス には、ECS01 と ECS02 を順に設定します。ヘルスチェック スイッチをオンにし、越境データ転送コンプライアンス誓約書 を読んで選択します。他のエンドポイントグループパラメーターはデフォルト値のままにするか、必要に応じて変更できます。
設定の確認 ステップで、GA の設定を確認し、送信をクリックします。
[インスタンス] ページで、作成した GA インスタンスを見つけ、CNAME 列で GA インスタンスに割り当てられた CNAME を取得します。
バックエンドサーバーで、GA がバックエンドサービスに接続するために使用するネットワークセグメントを許可します。
このシナリオでは、GA はプライベートネットワークを介してバックエンドの ECS サーバーに接続します。ECS セキュリティグループでその vSwitch の CIDR ブロックを許可し、この vSwitch の CIDR ブロックで利用可能なプライベート IP アドレスの数が 8 以上であることを確認する必要があります。

ステップ 2：Anti-DDoS Origin の設定

Anti-DDoS Origin コンソールの 保護対象 ページで、保護対象の追加 をクリックして、GA インスタンスを保護対象として追加します。

添加防护对象

アセットを追加した後、保護対象 ページの GA アセット タブで保護されている GA インスタンスを表示できます。また、IP アセット タブで、GA のアクセラレーション IP アドレスやエンドポイントグループのパブリック IP アドレスを含む、保護されているパブリック IP アドレスを表示することもできます。

ステップ 3：CNAME レコードの設定

実際のビジネスシナリオでは、カスタムドメイン名を使用することを推奨します。CNAME レコードを作成して、カスタムドメイン名を GA によって割り当てられた CNAME にマッピングできます。これにより、ビジネストラフィックが GA に切り替わり、アクセラレーションアクセスが行われます。

この例では、バックエンドサーバーを指す A レコードをすでに作成している場合、GA インスタンスを指す CNAME レコードを追加する際に中国 (香港) リージョンを指定できます。CNAME レコードが期待どおりに機能する場合、CNAME レコードを他のリージョンに適用するか、GA インスタンスを指す CNAME レコードのみを保持します。

[ドメイン名] ページで、使用したいドメイン名を見つけ、アクション 列の DNS 設定 をクリックします。
説明
Alibaba Cloud に登録されていないドメイン名の場合、DNS レコードを設定する前に、Cloud DNS コンソールにドメイン名を追加する必要があります。
[DNS 設定] ページで、DNS レコードの追加 をクリックし、CNAME レコードを設定してから、OK をクリックします。
この例では、レコードタイプ パラメーターを CNAME に、ホスト名 パラメーターを www に、DNS リクエストソース パラメーターを中国 (香港) に、レコード値 パラメーターを GA インスタンスの CNAME に設定します。他のパラメーターはデフォルト値を使用するか、必要に応じてパラメーターを変更できます。詳細については、DNS レコードの追加をご参照ください。

ステップ 4：結果の検証

GA のアクセラレーション性能の検証

この Topic では、香港 (中国) のプローブ拠点を例に説明します。GA の設定前後で、データ遅延を把握するため、ウェブサイトのカスタムドメイン名に対し接続テストツールを使用したテストを実施し、応答時間を確認してください。

GA を設定する前のネットワーク遅延をテストします。
応答時間などの情報を表示できます。[解決済み IP] 列には、ECS インスタンスのパブリック IP アドレスが表示されます。
GA を設定した後のネットワーク遅延をテストします。
応答時間などの情報を表示できます。[解決済み IP] 列には、GA インスタンスのアクセラレーション IP アドレスが表示されます。

テスト結果は、GA が香港 (中国) のクライアントが米国 (シリコンバレー) リージョンのサービスにアクセスする際の遅延を削減することを示しています。

説明

GA のアクセラレーション性能は、ご利用のビジネスでのテスト結果に準じます。

GA のヘルスチェック機能の検証

ブラウザでウェブサイトのカスタムドメイン名を入力し、米国 (シリコンバレー) リージョンにデプロイされたウェブサイトにアクセスします。
テスト結果は、カスタムドメイン名を通じて米国 (シリコンバレー) リージョンにデプロイされたウェブサイトにアクセスできることを示しています。ブラウザを複数回更新すると、応答するサーバーが ECS01 と ECS02 の間で切り替わります。
障害のシミュレーション：ECS01 サーバーを停止します。
しばらくすると、GA インスタンスの エンドポイントグループ タブで ヘルスチェックステータス を確認できます。
ブラウザを複数回更新しても、通常どおりビジネスにアクセスできますが、応答するサーバーは ECS02 のみになります。

Anti-DDoS Origin の保護効果の検証

Anti-DDoS Origin が提供する以下の機能を使用して、保護効果を確認できます。

[ビジネスモニタリング] ページでは、保護対象アセットのトラフィック傾向や DDoS 攻撃イベントの記録など、リアルタイムの情報が提供されます。
[攻撃分析] ページでは、攻撃タイプ、攻撃トラフィック量、持続時間など、Anti-DDoS Origin インスタンスでの攻撃イベントの詳細をクエリして分析できます。
[防御ログ] ページには、攻撃検出やトラフィッククリーニングなどの詳細情報を含む、Anti-DDoS Origin がトラフィックをどのように処理したかが記録されます。防御ログを分析することで、防御ポリシーの有効性をさらに検証できます。

GA と Anti-DDoS Pro/Premium の連携

ある多国籍ゲームが Alibaba Cloud の米国 (シリコンバレー) リージョンにデプロイされており、カスタムドメイン名を通じて世界中の複数のリージョンのプレイヤーにサービスを提供しています。現在、このゲームは以下の課題に直面しています：

不安定なクロスボーダーのパブリックネットワーク。遅延、ジッター、パケット損失などの問題が頻繁に発生します。
頻繁な大規模な DDoS 攻撃により、サービスが完全に中断します。

これらの問題を解決するため、ゲーム会社は GA をデプロイし、Anti-DDoS Pro および Anti-DDoS Premium に接続することを計画しています：

GA: クライアントからのアクセスリクエストは、設定された加速リージョンを介して、最寄りの Alibaba Cloud 加速ネットワークにルーティングされます。リクエストはその後、スマートルーティングと自動ネットワークスケジューリングを使用して米国 (シリコンバレー) リージョンにあるオリジンサーバーに転送され、サービスアクセス速度を効果的に向上させます。さらに、ヘルスチェックを有効にすることで、サービスの信頼性と可用性を向上させ、異常なノードがサービスに影響を与えるのを防ぐことができます。
Anti-DDoS Pro/Premium：GA を Anti-DDoS Pro または Premium に接続すると、通常のトラフィックは遅延を追加することなく GA を通じて直接オリジンサーバーにアクセラレーションされて送信されます。大規模な DDoS 攻撃中、GA は DNS 名前解決を使用してトラフィックを Anti-DDoS スクラビングセンターに再ルーティングしてクリーニングします。クリーニングされたトラフィックは、GA のセキュア CNAME (セキュアアクセラレーション IP アドレス) を通じて Alibaba Cloud アクセラレーションネットワークにアクセラレーションされ、最終的にサーバーに転送されます。これにより、ゲームサーバーへの安定したアクセスが保証されます。

制限事項

GA と Anti-DDoS Pro および Anti-DDoS Premium の連携は、デフォルトでは利用できません。この機能を使用するには、ビジネス担当者にお問い合わせください。
Anti-DDoS Pro および Anti-DDoS Premium (中国本土) の Premium Edition、または Anti-DDoS Pro および Anti-DDoS Premium (中国本土以外) の Sec-MCA 1.0 または Sec-MCA 1.0 (Basic Edition) を購入するには、ビジネス担当者にお問い合わせください。
従量課金の標準 GA インスタンスのみが Anti-DDoS Premium に接続できます。サブスクリプションベースの標準 GA インスタンスおよび基本 GA インスタンスはサポートされていません。

前提条件

サービスが米国 (シリコンバレー) リージョンの ECS01 および ECS02 サーバーにデプロイされていること。このトピックでは、Alibaba Cloud Linux 3 を例として使用し、Nginx を使用して HTTP 80 サービスを構成します。
例：ECS01 にテストサービスをデプロイする
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01, service running on port 80." > index.html
```
カスタムドメイン名の DNS レコードが設定されていること。2 つのバックエンドサーバーのパブリック IP アドレスにドメイン名をポイントする A レコードを設定済みであること。
Alibaba Cloud DNS 以外の DNS サービスを使用している場合は、ご利用の DNS プロバイダーの指示をご参照ください。
HTTPS 443 を介してサービスを提供するには、SSL 証明書サービスで証明書を作成して申請するか、サードパーティの証明書をアップロードし、カスタムドメイン名にバインドする必要があります。
Anti-DDoS Pro または Anti-DDoS Premium インスタンスを購入済みであること。
このトピックでは、香港 (中国) リージョンからサービスにアクセスするクライアント向けに購入された Mitigation Plan および Standard Function を備えた Anti-DDoS Pro または Anti-DDoS Premium (中国本土以外) インスタンスの例を使用します。
重要
設定した GA 加速エリア (クライアントリージョン) に中国本土が含まれる場合は、Anti-DDoS Pro または Anti-DDoS Premium (中国本土) インスタンスも購入し、カスタムドメイン名が ICP 登録を完了していることを確認する必要があります。